Security Hub 제어 대상 AWS Private CA

이들은 AWS Security Hub 컨트롤은 다음을 평가합니다. AWS Private Certificate Authority (AWS Private CA) 서비스 및 리소스

이러한 제어 기능을 모두 사용할 수 있는 것은 아닙니다. AWS 리전. 자세한 내용은 을 참조하십시오리전별 제어 기능 사용 가능 여부.

[PCA.1] AWS Private CA 루트 인증 기관을 비활성화해야 합니다.

관련 요구 사항: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2

범주: 보호 > 보안 네트워크 구성

심각도: 낮음

리소스 유형: AWS::ACMPCA::CertificateAuthority

AWS Config 규칙: acm-pca-root-ca-disabled

스케줄 유형: 주기적

파라미터: 없음

이 컨트롤은 다음을 확인합니다. AWS Private CA 비활성화된 루트 인증 기관 (CA) 이 있습니다. 루트 CA가 활성화되면 제어가 실패합니다.

다음과 함께 AWS Private CA루트 CA와 하위 CAs CA를 포함하는 CA 계층 구조를 만들 수 있습니다. 특히 프로덕션 환경에서는 일상적인 작업에 루트 CA를 사용하는 것을 최소화해야 합니다. 루트 CA는 중급자용 인증서를 발급하는 용도로만 사용해야 합니다. CAs 이렇게 하면 중개자가 엔드 엔티티 인증서를 발급하는 일상적인 CAs 작업을 수행하는 동안 루트 CA를 위험 없이 저장할 수 있습니다.

이제 Security Hub가 와 통합되었습니다

루트 CA를 비활성화하려면 에서 CA 상태 업데이트를 참조하십시오. AWS Private Certificate Authority 사용 설명서.